Google Play Store từ lâu đã là nơi người dùng Android tin cậy để tải ứng dụng, nhưng không phải lúc nào kho ứng dụng này cũng an toàn tuyệt đối. Gần đây, Google đã xác nhận gỡ bỏ 77 ứng dụng độc hại với hơn 19 triệu lượt cài đặt, ẩn chứa các mã độc nguy hiểm như trojan ngân hàng Anatsa (hay TeaBot) và Joker. Những ứng dụng này, ngụy trang dưới dạng công cụ tiện ích như trình đọc PDF hay ứng dụng chỉnh sửa ảnh, đã đánh lừa hàng triệu người dùng. Cùng MobileWorld tìm hiểu cách hoạt động của các mã độc này và hướng dẫn bạn bảo vệ thiết bị Android khỏi những mối đe dọa tương tự.
77 Ứng dụng độc hại và con số 19 triệu lượt tải
Các nhà nghiên cứu phát hiện 77 ứng dụng độc hại trên Google Play Store, với tổng cộng hơn 19 triệu lượt cài đặt trước khi bị gỡ bỏ. Những ứng dụng này thường giả dạng các công cụ hữu ích như trình đọc PDF, ứng dụng chỉnh sửa ảnh, bàn phím, trình đọc mã QR, trò chơi, bộ sưu tập hình nền, hoặc ứng dụng theo dõi sức khỏe, thuộc các danh mục như công cụ (tools), cá nhân hóa (personalization), giải trí (entertainment), nhiếp ảnh (photography), và thiết kế (design). Một ví dụ điển hình là ứng dụng “Document Reader – File Manager”, đã thu hút hàng nghìn lượt tải trước khi bị phát hiện chứa mã độc Anatsa. Tuy nhiên, danh sách đầy đủ 77 ứng dụng không được công bố công khai để tránh hỗ trợ tin tặc tạo biến thể mới..
Trong năm 2024, Google đã xóa gần 4 triệu ứng dụng khỏi Play Store, tương đương khoảng 11.000 ứng dụng mỗi ngày, chủ yếu do vi phạm chính sách bảo mật và quyền riêng tư. Hơn 66% trong số này là adware (phần mềm quảng cáo), khoảng 25% chứa mã độc Joker, và phần còn lại bao gồm các mã độc nguy hiểm như Anatsa. Google cũng chấm dứt 155.000 tài khoản nhà phát triển vi phạm và áp dụng quy định xác minh danh tính nghiêm ngặt hơn, kể cả với ứng dụng sideload (cài đặt ngoài Play Store).
Trojan ngân hàng Anatsa: Mối đe dọa tinh vi
Anatsa hoạt động như thế nào?
Anatsa, hay TeaBot, là trojan ngân hàng nhắm đến thông tin tài chính, bao gồm thông tin đăng nhập ngân hàng và ví tiền điện tử, với khả năng tấn công 831 tổ chức tài chính toàn cầu, từ ngân hàng truyền thống đến sàn giao dịch tiền điện tử. Mã độc này sử dụng các kỹ thuật tinh vi để tránh bị phát hiện:
-
Ngụy trang ứng dụng hợp pháp: Anatsa ẩn trong các ứng dụng tiện ích thông thường, hoạt động như “dropper” để tải mã độc từ máy chủ từ xa dưới dạng bản cập nhật giả mạo. Ví dụ, ứng dụng “Document Reader – File Manager” sau khi cài đặt sẽ tải mã độc Anatsa thông qua bản cập nhật giả.
-
Mã hóa và che giấu: Sử dụng kỹ thuật mã hóa ZIP APK và khóa DES riêng biệt, Anatsa giấu mã độc trong tệp JSON, chỉ tải và xóa ngay sau khi thực thi, khiến các công cụ phân tích tĩnh khó phát hiện.
-
Tấn công lớp phủ: Khi người dùng mở ứng dụng tài chính, Anatsa hiển thị màn hình đăng nhập giả mạo để đánh cắp thông tin.
-
Keylogging và chụp ảnh màn hình: Ghi lại thao tác bàn phím, chụp ảnh màn hình, đọc SMS và chiếm quyền điều khiển thiết bị.
Tác động của Anatsa
Anatsa đe dọa nghiêm trọng người dùng Android bằng cách đánh cắp thông tin đăng nhập, cho phép tin tặc truy cập tài khoản ngân hàng hoặc ví tiền điện tử. Sự tinh vi của mã độc này nằm ở khả năng liên tục cập nhật, thích nghi với các biện pháp bảo mật, khiến nó trở thành một trong những mối nguy hiểm hàng đầu.
Joker và các loại mã độc khác
Khoảng 25% ứng dụng độc hại bị gỡ chứa mã độc Joker, xuất hiện từ năm 2020. Joker đánh cắp thông tin qua SMS, danh bạ, thông tin thiết bị và tự động đăng ký người dùng vào dịch vụ trả phí cao cấp, gây thiệt hại tài chính. Ngoài ra, các ứng dụng này còn chứa adware (phần mềm quảng cáo) và biến thể Harly, làm chậm thiết bị, hiển thị quảng cáo không mong muốn và thu thập dữ liệu trái phép.
Google Play Store và những lỗ hổng bảo mật
Dù Google đầu tư mạnh vào bảo mật, 77 ứng dụng độc hại với 19 triệu lượt tải cho thấy vẫn còn lỗ hổng trong quy trình kiểm duyệt. Các ứng dụng này vượt qua kiểm tra ban đầu nhờ tải mã độc sau khi cài đặt. Google cho biết đã xử lý các ứng dụng này trước khi báo cáo công bố, nhấn mạnh vai trò của Google Play Protect trong việc phát hiện và cảnh báo. Tuy nhiên, ứng dụng bị gỡ khỏi Play Store vẫn có thể hoạt động trên thiết bị nếu không được xóa thủ công. Do đó, người dùng cần kiểm tra danh sách ứng dụng trong Cài đặt > Ứng dụng để phát hiện các app từ nhà phát triển không rõ ràng hoặc yêu cầu quyền truy cập bất thường (như SMS, Accessibility, hoặc danh bạ).
Cách bảo vệ thiết bị Android khỏi mã độc
Để giữ thiết bị Android an toàn trước Anatsa, Joker và các mã độc khác, hãy thực hiện các bước sau:
-
Kiểm tra quyền ứng dụng: Xem xét quyền yêu cầu trước khi cài đặt. Ví dụ: Một ứng dụng đèn pin không cần truy cập SMS hay danh bạ. Tránh cài đặt nếu quyền không hợp lý.
-
Chỉ tải từ nguồn uy tín: Dù Play Store không hoàn toàn an toàn, ứng dụng sideload từ nguồn bên thứ ba thường rủi ro hơn. Ưu tiên nhà phát triển có lịch sử đáng tin cậy.
-
Kích hoạt Google Play Protect: Bật Google Play Protect trong ứng dụng Play Store để quét và phát hiện mã độc. Nếu phát hiện ứng dụng độc hại, Play Protect sẽ gửi thông báo yêu cầu gỡ cài đặt.
-
Gỡ ứng dụng không cần thiết: Định kỳ kiểm tra và xóa ứng dụng không sử dụng, vì chúng có thể chứa lỗ hổng bảo mật. Đặc biệt, gỡ các ứng dụng như trình đọc PDF, quản lý file, hoặc bàn phím từ nhà phát triển không rõ nguồn gốc.
-
Cài phần mềm bảo mật: Sử dụng ứng dụng chống virus như Malwarebytes để tăng cường bảo vệ.
-
Cẩn thận với cập nhật: Xóa ngay ứng dụng không thể cập nhật qua Play Store vì đã bị gỡ, vì chúng dễ bị khai thác.
-
Đọc đánh giá: Kiểm tra đánh giá từ nguồn bên ngoài, như video hoặc bài viết trên trang công nghệ uy tín, trước khi tải ứng dụng.
Google đang thử nghiệm nút “Gỡ cài đặt” trên danh sách ứng dụng trong Play Store, giúp xóa ứng dụng từ xa dễ dàng hơn, nhưng tính năng này chưa triển khai rộng rãi.
Kết luận
Việc Google gỡ bỏ 77 ứng dụng độc hại với 19 triệu lượt cài đặt là lời nhắc nhở rằng ngay cả Play Store cũng tiềm ẩn nguy cơ. Trojan Anatsa, Joker và các mã độc khác cho thấy sự tinh vi của các mối đe dọa di động, đòi hỏi người dùng luôn cảnh giác. Dù danh sách cụ thể các ứng dụng không được công bố, các ví dụ như “Document Reader – File Manager” cho thấy chúng thường giả dạng tiện ích quen thuộc. MobileWorld khuyến khích bạn kiểm tra quyền ứng dụng, bật Google Play Protect và duy trì thói quen bảo mật để bảo vệ thiết bị. Trong thời đại công nghệ số, việc chủ động phòng tránh mã độc không chỉ là lựa chọn mà là điều bắt buộc để giữ an toàn cho dữ liệu và tài chính của bạn.
Hãy theo dõi các bản tin khác của chúng tôi tại đây để cập nhật những thông tin công nghệ mới nhất, hữu ích nhất mỗi ngày.
MobileWorld hứa hẹn sẽ đem đến cho người dùng những thiết bị công nghệ chính hãng, cập nhật những dòng sản phẩm mới nhanh nhất của những gã khổng lồ công nghệ lớn, kịp thời đáp ứng nhu cầu sử dụng cho nhiều tín đồ yêu công nghệ hiện nay.
Cửa hàng điện thoại MobileWorld (Mobileworld.com.vn) đã hoạt động hơn 10 năm, chuyên cung cấp các dòng điện thoại iPhone, Samsung, Google chính hãng, Fullbox, quốc tế, like new. Luôn được bảo hành đầy đủ với các gói bảo hành đa dạng.
MobileWorld hiện đã hợp tác cùng các ngân hàng, tổ chức tín dụng uy tín cung cấp gói trả góp 0% cho khách hàng.
Cửa hàng MobileWorld:
-
692 Lê Hồng Phong, Phường Vườn Lài, TP. HCM
-
Hotline: 0965 28 79 89
-
support@mobileworld.com.vn
Nguồn tham khảo
- Forbes - Google Confirms Play Store Removal: Delete Apps On Your Phone - https://www.forbes.com/sites/zakdoffman/2025/08/30/google-confirms-play-store-removal-delete-apps-on-your-phone/
- Tom's Guide - Dangerous Android banking trojan found lurking in malicious apps with 19 million installs — don’t fall for this - https://www.tomsguide.com/computing/malware-adware/dangerous-android-banking-trojan-found-lurking-in-malicious-apps-with-19-million-installs-dont-fall-for-this
- Malwarebytes - 77 malicious apps removed from Google Play Store - https://www.malwarebytes.com/blog/news/2025/08/77-malicious-apps-removed-from-google-play-store
- The Register - Malware-ridden apps made it into Google's Play Store, scored 19 million downloads - https://www.theregister.com/2025/08/26/apps_android_malware/
